Ferramenta Snort

Alexandre Lemke1, Vagner Santos1 1Programa de Graduao em Cincia da Computao Universidade Catlica de Pelotas Rua Flix da Cun a! "1# $%&1&'&&& Pelotas R( )rasil
alemke@ufpel.edu.br, vagkid@yahoo.com.br

Trabalho de Redes de Computadores II

1. Introdu o
*este tra+al o a+ordaremos a ,erramenta (nort! com excelente -ualidade e e,icincia tanto -uanto os softwares comerciais de mesma categoria! citando conceitos e o+.etivos desta ,erramenta! tam+m mencionaremos seus princ/pios de ,uncionamento! sua ar-uitetura! descrio de suas principais ,uncionalidades e casos de uso0 1 deteco de 2ntruso uma 3rea de grande expanso! pes-uisa e investimento na segurana em redes de computadores0 *o crescimento da interconexo de computadores em todo o mundo veri,icado um conse-uente aumento nos ata-ues na internet! gerando uma complexidade elevada para a capacidade dos mecanismos de preveno0 Para maioria das aplica4es atuais! desde redes corporativas simples at sistemas de e'commerce ou aplica4es +anc3rias! praticamente invi3vel a utili5ao de simples mecanismos -ue diminuam a possi+ilidade de ata-ues eventuais0 Um ata-ue ,ora pode causar interrup4es totais dos servios para -ue um lento e oneroso processo de auditoria e de restaurao manual posterior se.a ,eito! .usti,icando o investimento ,eito visando a criao de mecanismos -ue garantem aos sistemas um ,uncionamento correto mesmo na presena de ,al as de segurana! principal o+.etivo dos c amados (istemas de 6eteco de 2ntruso 726( ' 2ntrusion 6etection (8stems90 6e,inimos 26( como uma ,erramenta inteligente e capa5 de detectar tentativas de invaso em tempo real0 : 26( um sistema de con,igura4es e regras -ue tem como o+.etivo gerar alertas -uando detectar pacotes -ue possam ,a5er parte de um poss/vel ata-ue0

!. "b#et$%os
;uitas pessoas se enganam pensando -ue uma ve5 -ue ,erramentas de segurana 7firewalls! antiv/rus! 26(! etc9 ten am sido instaladas! no mais necess3ria a reali5ao de testes para veri,icar sua e,icincia0 <ste um grande erro! mas muito comum nos dias atuais0 =endo em vista -ue todos os dias novas vulnera+ilidades so desco+ertas e pu+licadas em sites especiali5ados em segurana! em listas de discusso hackers, a simples instalao de uma ,erramenta de segurana por mais so,isticada -ue se.a! no garante a total proteo esperada0 2sso pode acontecer por v3rios motivos! desde uma m3 con,igurao da ,erramenta! a no atuali5ao das assinaturas de ata-ues disponi+ili5adas pelo ,a+ricante da ,erramenta ou mesmo por bugs no prprio software deixando +rec as -ue pode ser exploradas0 <xistem v3rias tcnicas utili5adas para se analisar a segurana da rede0 <ntre elas podemos destacar a an3lise de vulnera+ilidades! an3lise de logs! an3lise de integridade e o c amado pen-test 7teste de penetrao90 <ste >ltimo! consiste na reali5ao de testes de ,orma intrusiva -ue vo colocar a prova a estrutura de segurana da rede! com o o+.etivo de encontrar +rec as e vulnera+ilidades em servios ou sistemas para serem corrigidos antes -ue possam ser explorados0 Um sistema computacional dever3 prover con,idncia! integridade e garantia contra negao de servios! mas o aumento da conectividade e a grande -uantidade de aplica4es ,inanceiras executadas na 2nternet criam um cen3rio propenso a intrus4es -ue tentam explorar ,al as do sistema operacional e tam+m em programas aplicativos espec/,icos0 Pro.etar e implementar um sistema completamente seguro ainda uma realidade distante e migrar a +ase de sistemas instalados para um estado con,i3vel tomaria muito tempo0 :s mtodos de criptogra,ia possuem seu prprios pro+lemas e podem ser -ue+rados0 (istemas vulner3veis -ue podem ser atacados a -ual-uer momento e a desco+erta deve ocorrer o mais cedo poss/vel! pre,erencialmente em tempo real0 ? isso -ue um sistema de deteco de intruso +asicamente ,a50 @uando um ata-ue desco+erto! um 26( age como um in,ormante e no utili5a medidas preventivas0 : 26( automati5a a tare,a de analisar estes dados de log -ue so extremamente >teis pois podem ser usados para esta+elecer a culpa+ilidade do atacante e so ,re-Aentemente o >nico modo de desco+rir uma atividade sem autori5ao! detectar a extenso dos danos e prevenir tal ata-ue no ,uturo! tornando desta ,orma o 26( uma ,erramenta extremamente valiosa para an3lises em tempo real e tam+m aps a ocorrncia de um ata-ue0 1s intrus4es podem ser classi,icadas em seis tipos principaisB

=entativas de arrom+arC 1ta-ues mascaradosC Penetrao do sistema de controle de seguranaC Da5amentoC *egao de servioC Uso malicioso0

=odos este tipos de intruso podem ser monitorados pela an3lise dos per,is de comportamentos at/picos! viola4es de regras de segurana! padr4es espec/,icos de atividades! uso de recursos dos sistemas ou uso de privilgios especiais0

Com o advento da 2nternet! as redes de computadores tornaram'se uma grande mal a -ue agrega mil ares de m3-uinas e empresas interconectadas! reali5ando desde simples troca de e'mail a transa4es econEmicas0 ? um c amari5 consider3vel a intrusos! visto -ue! a segurana destes sitesF redes comeou a ser encarada com a importGncia necess3ria somente aps in>meros incidentes colocarem em risco a -ualidade dos servios e a competncia dos administradores0 1 necessidade de existir um monitoramento mais e,iciente e ininterrupto das atividades pertinentes a uma rede ,e5 com -ue surgissem programas denominados 26( 72ntrusion 6etection (8stem ' (istema de 6eteco de 2ntrusos9! respons3veis por monitorar as tentativas de ata-ues -ue eram lanadas contra uma rede e gerar ar-uivos com as ocorrncias diagnosticadas0 (nort uma ,onte a+erta de preveno de intrus4es de rede e sistema de deteco 726( F 2P(9! desenvolvido por (ource,ire0 Com+inando os +ene,/cios de assinatura! protocolo e anomalia de inspeo +aseada! (nort o mais amplamente implantada 26( F 2P( mundial de tecnologia0 Com mil 4es de doHnloads e mais de #I&0&&& usu3rios registrados! (nort tornou'se o padro de ,ato para a 2P(0

&. 'r$n()p$os de Fun($onamento e Ar*u$tetura Snort

: (*:R= uma ,erramenta *26( desenvolvido por ;artin Roesc Jopen'sourceJ +astante popular por sua ,lexi+ilidade nas con,igura4es de regras e constante atuali5ao ,rente Ks novas ,erramentas de invaso 0 :utro ponto ,orte desta ,erramenta o ,ato de ter o maior cadastro de assinaturas! ser leve! pe-ueno! ,a5er escaneamento do micro e veri,icar anomalias dentro de toda a rede ao -ual seu computador pertence0 : cdigo ,onte otimi5ado! desenvolvido em mdulos utili5ando linguagem de programao C e! .unto! com a documentao! so de dom/nio p>+lico0 : (nort conta ainda! com o permanente desenvolvimento e atuali5ao! -ue so ,eitos diariamente! tanto em relao ao cdigo propriamente dito! como das regras de deteco0 :s padr4es utili5ados na construo das regras de deteco das su+vers4es so introdu5idos no sistema de con,igurao! to r3pido -uando so enviados os alertas originados pelos rgos respons3veis! como por exemplo o C<R=! )ugtra- 7lista de discusso9! entre outros0 Por ser uma ,erramenta peso leve! a utili5ao do (nort indicada para monitorar redes =CPF2P pe-uenas! onde pode detectar uma grande variedade do tr3,ego suspeito! assim como ata-ues externos e ento! ,ornece argumento para as decis4es dos administradores0 :s mdulos -ue comp4e o (nort so ,erramentas poderosas! capa5es de produ5ir uma grande -uantidade de in,ormao so+re os ata-ues monitorados! dado -ue poss/vel avaliar tanto o ca+eal o -uanto o conte>do dos pacotes! alm de disponi+ili5ar! por exemplo! a opo de capturar uma sesso inteira0

: (nort monitora o tr3,ego de pacotes em redes 2P! reali5ando an3lises em tempo real so+re diversos protocolos 7n/vel de rede e aplicao9 e so+re o conte>do 7 exa e 1(C2290 :utro ponto positivo desse so,tHare o grande n>mero de possi+ilidades de tratamento dos alertas gerados0 : su+sistema de registro e alerta selecionado em tempo de execuo atravs de argumentos na lin a de comando! so trs op4es de registro e cinco de alerta0 : registro pode ser con,igurado para arma5enar pacotes decodi,icados e leg/veis em uma estrutura de diretrio +aseada em 2P! ou no ,ormato +in3rio do tcpdump em um >nico ar-uivo0 Para um incremento de desempen o! o registro pode ser desligado completamente! permanecendo os alertas0 L3 os alertas podem! ser enviados ao s8slog! registrados num ar-uivo de texto puro em dois ,ormatos di,erentes! ou ser enviados como mensagens MinPopup usando o sm+client0 :s alertas podem ser enviados para ar-uivo texto de ,orma completa e o alerta r3pido0 : alerta completo escreve a mensagem de alerta associada K regra e a in,ormao do ca+eal o do pacote at o protocolo de camada de transporte0 1 opo de alerta r3pido escreve um su+con.unto condensado de in,ormao do ca+eal o alerta0 Por ,im! uma >ltima opo desa+ilita os alertas completamente0<xiste tam+m! a possi+ilidade de utili5ar mtodos como o 6ata+ase Plug'in por exemplo! para registrar pacotes em uma variedade de +ases de dados di,erentes 7;8(@N! Postgre(@N! entre outros9! as -uais contam com recursos prprios para e,etuar consultas! correla4es e disp4em de mecanismos de visuali5ao para analisar dados0 : Snort um sistema de deteco de invaso +aseado em rede! de cdigo ,onte a+erto0 ? um 26( +aseado em assinaturas -ue usa regras para veri,icar a existncia de pacotes com in,orma4es -ue podem indicar a ocorrncia do ata-ue0 Regras so um con.unto de re-uisitos -ue gerariam um alerta0 : Snort possui muitos recursos entre os -uais podemos citar! um ,are.ador de pacotes para a captura dos dados! um mecanismo de registro de pacotes e de deteco de invaso0 <le tam+m pode ser con,igurado para enviar alertas em tempo real evitando assim a necessidade de monitorar o sistema continuamente0 : Snort considerado um (62 leve! por possuir uma pegada pe-uena e ser um so,tHare multiplata,orma dispon/vel para sistema (olaris! Ninux! sistemas )(6! OP'UP! 2R2P e MindoHs0 Foram adicionadas muitas outras ,uncionalidades ao so,tHare como um mecanismo de pr' processamento para a classi,icao dos pacotes! +em como plugins! -ue permitem arma5enar os resultados das an3lises reali5adas em +anco de dados como ;8(@N e Postgres0 1umentaram tam+m o n>mero de regras para deteco de novos ata-ues -ue so atuali5adas constantemente pela comunidade e disponi+ili5adas para download no site do so,tHare 7HHH0snort0org90 (egundo CasHell et al0 7#&&Q9! a ar-uitetura do Snort composta por -uatro componentes +3sicosB ' : ,are.adorC ' : pr'processadorC ' : mecanismo de detecoC ' 1lertaFregistro0

: pr'processador e o mecanismo de alerta so todos compostos por plug-ins10 -ue ,oram separados do cdigo +ase para tornarem as modi,ica4es ao cdigo ,onte mais ,3ceis e con,i3veis0 1 Figura #& mostra uma viso da ar-uitetura do (nort0

+. 'r$n($pa$s Fun($onal$dades do Snort

"01 Fare.ador de pacotes Fare.adores de pacotes so dispositivos de hardware ou de software usados para ,a5er escuta nas redes! ,uncionando de ,orma semel ante Ks escutas tele,Enicas! capturando todos os dados -ue tra,egam pela rede0 ;uitos ,are.adores de dados so capa5es de analisar v3rios protocolos de rede para trans,ormar os pacotes em dados leg/veis para seres umanos0 (egundo CasHell et al0 7#&&Q9! ,are.adores de pacotes podem ser utili5ados paraB ' 1n3lise de diagnstico e soluo de pro+lemas na redeC ' 1n3lise e comparativo de desempen oC ' 2ntromisso para o+ter sen as em texto puro e outros dados interessantes0 1 criptogra,ia de tr3,ego da rede pode impedir -ue os dados se.am analisados por um ,are.ador0 *a Figura a+aixo pode ser o+servado o es-uema de ,uncionamento do ,are.ador de pacotes0

: Snort ,a5 uso de uma +i+lioteca c amada libcap para reali5ar a captura dos pacotes0 <sta +i+lioteca alm de capturar os dados destinados K prpria m3-uina! capa5 de rece+er os pacotes destinados a outras m3-uinas dentro do mesmo segmento de rede0 (egundo CasHell 7#&&Q9! a +i+lioteca libcap ,oi escrita como parte de um programa maior c amado TCPDump0 <la ,oi aproveitada pelos desenvolvedores para criar um cdigo capa5 de rece+er os pacotes da camada dois do modelo =CPF2P! ou se.a diretamente das placas de rede! livrando'se assim da idiossincrasia das placas de rede e dos di,erentes drivers dos sistemas operacionais0

Uma ve5 rece+idos os pacotes +rutos da placa de rede pela libcap! esta repassa os pacotes capturados para os mecanismos de decodi,icao do Snort0 6urante o processo de decodi,icao! o Snort liga os dados +rutos Ks estruturas de dados mantidos na memria! para posteriormente serem analisados pelos pr'processadores e mecanismos de deteco0 "0# Pr'processadores :s plug-ins de pr'processadores no Snort! so respons3veis pela classi,icao dos dados capturados pelo ,are.ador de pacotes0

6e acordo com CasHell et al0 7#&&Q9! este componente pega os pacotes +rutos e veri,ica em relao a certos plug-ins! como um plug-ins de RPC ou portscan determinando assim o

comportando do pacote analisado0 Uma ve5 detectada o comportamento particular do pacote! o mesmo encamin ado para o mecanismo de deteco0 1 grande vantagem de tra+al ar com plugins! a possi+ilidade de ativar e desativar alguns deles de acordo com anecessidade e o per,il da rede onde o 26( est3 sendo con,igurado0 1 Figura #Q mostra o es-uema de ,uncionamento de um pr'processador0

"0Q ;ecanismo de deteco (egundo CasHell et al0 7#&&Q9! esta a parte mais importante do (620 :s dados vindos do mecanismo de pr'processamento so rece+idos pelo mecanismo de deteco e comparados com um con.unto de regras de assinatura de ata-ues con ecidos0 Uma ve5 -ue os dados dos pacotes correspondam com as in,orma4es de alguma regra! estes so enviados para o processador de alerta0 : Snort tem um grande +anco de dados de regras -ue so agrupadas por categorias! como por exemplo! cavalos de =ria! trans+ordamento de buffer! ata-ues Den of Service! entre outros0 <stas regras so atuali5adas regularmente e disponi+ili5adas para download no site do programa0

1 Figura #" mostra o es-uema do mecanismo de deteco do (nort0

"0" Componente de alertaFregistro @uando os dados -ue passam pelo mecanismo de deteco correspondem com alguma regra! ento um alerta disparado pelos plug-ins de sa/da0 (egundo CasHell et al07#&&Q9! os plug-ins de sa/da ,ornecem aos administradores a capacidade de con,igurar logs e alertas de maneira ,3cil de entender! ler e usar no am+iente de suas empresas0 1 an3lise de ,luxo seria in>til sem eles para processar! ,ormatar os dados analisados0 :s alertas podem ser enviados para um ar-uivo de log atravs de uma conexo de rede! atravs de so-uetes U*2P ou MindoHs Popup 7(;)9 e tam+m podem ser arma5enados em +anco de dados0 <xistem muitas ,erramentas adicionais -ue podem ser utili5adas para tratar os dados de sa/da do Snort como plug-ins Perl! POP! alm de servidores !eb para exi+ir os dados processados0

:s plug-ins de sa/da! geralmente di,erem dos outros componentes do (nort! pois no existe um ponto >nico de entrada para ele0 D3rios componentes do Snort os utili5am em est3gios di,erentesB ':s mecanismos de decodi,icao pacotes os usam para gerar sa/da no ,ormato de cdigo 1(C22 entre outrosC 'R: pr'processador usar3 os plug-ins de sa/da para alertar so+re eventosC 'R: mecanismo de deteco os usar3 para alertar e registrar ocorrncias de ata-ues0 <m geral os plug-ins de sa/da podem ser considerados complementos de produto! pois eles podem ser escritos por -ual-uer um e inclu/dos dentro do Snort durante a compilao e re,erenciados atravs os dos ar-uivos de con,igurao do programa0

,. -xemplos de .so do Snort

6esde #&&Q! o (erpro utili5a a ,erramenta livre (nort como (istema de 6eteco de 2ntruso de Redes0 1 soluo +astante popular por sua ,lexi+ilidade nas con,igura4es de regras e constante atuali5ao ,rente Ks novas ,erramentas de invaso0 <ste Jopen'sourceJ monitora o tr3,ego de pacotes em redes 2P! reali5ando an3lises em tempo real so+re diversos protocolos 7n/vel de rede e aplicao9 e seus conte>dos 7 exa e 1(C2290 :utro ponto positivo desse so,tHare o grande n>mero de possi+ilidades de tratamento dos alertas gerados0 : Grupo de Resposta a 1ta-ues da 2ntranet 7=igra9! da representao do (erpro em Reci,e! tem no (nort um importante aliado na an3lise do tr3,ego de redes internas da <mpresa! na deteco de tr3,ego relacionado com pragas virtuais ' adicionando uma camada extra ao sistema de antiv/rus corporativo ' e aplica4es -ue no so autori5adas pela pol/tica de segurana institucional0 (egundo Lone Freire! analista de redes do (erpro! ao utili5ar uma ,erramenta livre desta nature5a! o =igra gera uma grande economia para o (erproB J: custo para a-uisio de uma soluo propriet3ria similar alcana a ordem dos mil 4es de reaisJ0

/. Ferramenta Snort
: (nort necessita de alguns complementos como ;8(@N! doHnload das regras! um diretrio de registro 7log9 e lin as de comando0

Figura da tela de instalao do (nort

(nort assume trs modalidades de comandos! segue a+aixo .unto com um exemplo de cadaB 0 Sn$11er2 captura pacotes e imprime0 <x0B snort 0%de " mostra os todos os cabe#alhos e os dados contidos neles tamb$m% 0 'a(ket logger2 registra os pacotes capturados no disco r/gido0 <x0B snort 0de% 0l 3d$rdolog33log.txt " o snort gera um ar&uivo chamado log%t't de todos os pacotes visto por ele% 0 4et5ork $ntrus$on dete(t$on s6stem2 mais complexa e vers3til! permitindo -ue o (nort analise o tra,ego da rede de encontro a regras de,inidas pelo usu3rio! executando diversas a4es +aseadas em suas regras0 <x0B snort 0b 0A 1ast 0( snort.(on1 " gera ar&uivo de log no formato bin(rio e usa alerta r(pido

1 imagem a+aixo demonstra a visuali5ao de um log na ,erramenta (nort0

Disuali5ao de logs na ,erramenta (nort0 1 Criao de Regras no (nort o+edece a um ,ormato ou modelo pr'esta+elecidoB StipoTdeTalertaU SprotocoloU SredeTorigemU SportaTorigemU 'U SredeTdestinoU SportaTdestinoU 7Ca+eal o da RegraC :p4esC sidBPC0009C <xemplo de criao de regras para o (V8peB 1 primeira regra detecta uma conexo na porta tcpFQQ&QQB alert tcp an8 an8 'U an8 QQ&QQ 7,lagsB P1C sidB1#Q"W1#C priorit8B$C msgBJ=entativa de Conexao ao (V8peJC9 1 segunda regra detecta o envio de uma consulta 6*( a um su+dom/nio do (V8pe0 alert udp an8 an8 'U an8 WQ 7msgBJConsulta 6*( ao (V8peJC priorit8B$C contentB JX&WXsV8peJC dept B W&C sidB1#Q"W1QC revB1C9

Podemos visuali5ar na imagem a+aixo o (nort capturando uma uma conexo ao (V8pe0

2magem do (nort capturando uma conexo ao (V8pe

7. Con(lus o
: snort e,iciente mas com pouca inter,ace gr3,ica para o usu3rio comum e depende de pessoas dispostas a desenvolver novas tcnicas de deteco0 : +om -ue tem diversas pessoas -uali,icadas na comunidade snort -ue podem resolver o pro+lema0 Possui Flexi+ilidade na con,igurao de regras e constante atuali5ao de regras de deteco0 1lgumas grandes empresas como a )icrosoft e a *ntel utili5am a ,erramenta0

8. Re1er9n($as
C1(M<NN! )rian et al0 Snort !2 (istema de deteco de intruso0 Rio de LaneiroB 1lta )ooVs! #&&Q0
http://www.snort.org/

ttpBFFHHH0snort0com0+r
http://www.snort.org.br/ http://www.softwarelivre.gov.br/noticias/snort-ferramenta-livre-garante-seguranca-na-redeserpro/ http://www.snort.org.br/arquivos/Monografia-pedro.pdf http://www.winsnort.com/ http://www.intruders.com.br/artigos/snoc_criando_regras_snort_v02.pdf http://www.ginux.ufla.br/files/mono-Bruno antos.pdf